CERTA-2002-AVI-009

Vulnerability from certfr_avis - Published: - Updated:

at est un utilitaire qui permet l'exécution d'une commande à une heure spécifiée.

Une vulnérabilité présente dans at permet à un utilisateur mal intentionné de prendre les droits du super-utilisateur sur la machine.

Description

Le problème est dû à l'analyseur syntaxique qui désalloue la même allocation de mémoire deux fois.

Un utilisateur peut exploiter cette vulnérabilité pour réaliser une élévation de privilèges. Cette vulnérabilité n'est exploitable qu'en local.

Solution

Installer les mises à jour disponibles sous forme de paquetage pour les distributions Linux (cf. section Documentation).

at Version 3.1.8 ou antérieures.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cTT\u003eat\u003c/TT\u003e Version 3.1.8 ou  ant\u00e9rieures.",
  "content": "## Description\n\nLe probl\u00e8me est d\u00fb \u00e0 l\u0027analyseur syntaxique qui d\u00e9salloue la m\u00eame\nallocation de m\u00e9moire deux fois.\n\nUn utilisateur peut exploiter cette vuln\u00e9rabilit\u00e9 pour r\u00e9aliser une\n\u00e9l\u00e9vation de privil\u00e8ges. Cette vuln\u00e9rabilit\u00e9 n\u0027est exploitable qu\u0027en\nlocal.\n\n## Solution\n\nInstaller les mises \u00e0 jour disponibles sous forme de paquetage pour les\ndistributions Linux (cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 DSA-102 de Debian :",
      "url": "http://www.debian.org/security/2002/dsa-102"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 SuSE-SA:2002:003 de SuSE :",
      "url": "http://www.suse.com/us/support/security"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 MDKSA-2002:007 de Mandrake :",
      "url": "http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-007.php"
    }
  ],
  "reference": "CERTA-2002-AVI-009",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-01-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "at est un utilitaire qui permet l\u0027ex\u00e9cution d\u0027une commande \u00e0 une heure\nsp\u00e9cifi\u00e9e.\n\nUne vuln\u00e9rabilit\u00e9 pr\u00e9sente dans at permet \u00e0 un utilisateur mal\nintentionn\u00e9 de prendre les droits du super-utilisateur sur la machine.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la commande at",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulettin de s\u00e9curit\u00e9 DSA 102-1 de Debian",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.